Los piratas informáticos rusos aprovechan la vulnerabilidad de Microsoft Follina contra Ucrania

Downloads

Vulnerabilidad en Microsoft Follina

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido sobre una nueva serie de ataques de spear phishing que explotan el error “Follina” en el sistema operativo Windows para implementar malware que roba contraseñas.

La agencia atribuyó a los intrusos a un grupo de estado-nación ruso conocido como APT28 (también conocido como Fancy Bear o Sofacy) y dijo que los ataques comienzan con un documento señuelo titulado “Terrorismo nuclear: una amenaza muy real.rtf”, que, cuando se abre, explota el Vulnerabilidad revelada recientemente para descargar y ejecutar malware llamado CredoMap.

Follina (CVE-2022-30190, puntaje CVSS: 7.8), que aborda un caso de ejecución remota de código que afecta la Herramienta de diagnóstico de soporte de Windows (MSDT), fue informado por Microsoft el 14 de junio en el Abordado como parte de sus actualizaciones del día del parche, pero no antes. siendo objeto de una actividad generalizada de explotación de día cero por parte de numerosos actores de amenazas.

Seguridad de Internet

Según un informe independiente publicado por Malwarebytes, CredoMap es una variante del ladrón de credenciales basado en .NET que Google Threat Analysis Group (TAG) reveló el mes pasado como utilizado contra usuarios en Ucrania.

El objetivo principal del malware es desviar datos, incluidas contraseñas y cookies guardadas, de varios navegadores populares como Google Chrome, Microsoft Edge y Mozilla Firefox.

Hackers rusos atacan Ucrania
Hackers rusos atacan Ucrania

“Aunque navegar por los navegadores puede parecer un pequeño robo, las contraseñas son clave para acceder a información confidencial e inteligencia”, dijo Malwarebytes. “El objetivo y la participación de APT28, una rama de la inteligencia militar rusa, sugiere que la campaña es parte del conflicto en Ucrania, o al menos está relacionada con la política exterior y los objetivos militares del estado ruso”.

No es solo APT28. CERT-UA también advirtió sobre ataques similares de Sandworm y un actor denominado UAC-0098, que utilizan una cadena de infección basada en Follina para implementar CrescentImp y Cobalt Strike Beacons en hosts específicos en medios y unidades de infraestructura crítica.

Seguridad de Internet

El desarrollo se produce cuando Ucrania sigue siendo un objetivo para los ataques cibernéticos en medio de la guerra en curso del país con Rusia, y los piratas informáticos de Armageddon también detectaron la proliferación del malware GammaLoad.PS1_v2 en mayo de 2022.

Actualizar: En medio de continuos intentos de piratería diseñados para plantar malware en organizaciones ucranianas, Microsoft reveló en un informe especial que piratas informáticos rusos respaldados por el estado han estado realizando “espionaje estratégico” contra 128 objetivos, incluidos gobiernos, grupos de expertos, corporaciones y grupos de ayuda en 42 países, que han estado apoyando a Kyiv desde el comienzo de la guerra.

El 49 % de la actividad observada se centró en las agencias gubernamentales, seguidas de TI (20 %), infraestructura crítica (19 %) y ONG (12 %). Se dice que solo el 29% de estas intrusiones han sido exitosas, con una cuarta parte de los incidentes que resultaron en la filtración de datos confidenciales.

“Hasta la fecha, los rusos no han desplegado malware destructivo ‘gusano’ que pueda saltar de un dominio de computadora a otro, cruzando así las fronteras internacionales para propagar el daño económico”, dijo el gigante tecnológico con sede en Redmond.

“En cambio, diseñan ataques que se quedan en Ucrania. Si bien Rusia se ha ocupado de confinar su malware destructivo a dominios de red específicos dentro de la propia Ucrania, estos ataques son más sofisticados y generalizados”.

Leave a Reply

Your email address will not be published.